Los anuncios maliciosos publicados dentro del chatbot de inteligencia artificial (IA) de Microsoft Bing se utilizan para distribuir malware cuando se buscan herramientas populares.
Los hallazgos provienen de Malwarebytes, que reveló que se puede engañar a los usuarios desprevenidos para que visiten sitios con trampas explosivas e instalen malware directamente desde las conversaciones de Bing Chat.
Presentado por Microsoft en febrero de 2023, Bing Chat es un experiencia de búsqueda interactiva que funciona con el gran modelo de lenguaje de OpenAI llamado GPT-4. Un mes después, el gigante tecnológico comenzó explorador colocar anuncios en las conversaciones.
Pero la medida también ha abierto las puertas a los actores de amenazas que recurren a tácticas de publicidad maliciosa y propagan malware.
«Los anuncios se pueden insertar en una conversación de Bing Chat de varias maneras», Jérôme Segura, director de inteligencia de amenazas de Malwarebytes, dicho. «Uno de ellos es cuando un usuario pasa el cursor sobre un enlace y se muestra un anuncio primero antes del resultado orgánico».
En un ejemplo destacado por el proveedor de ciberseguridad, una consulta de Bing Chat para descargar un software legítimo llamado Advanced IP Scanner devolvió un enlace que, al pasar el cursor, mostraba un anuncio malicioso que apuntaba a un enlace fraudulento antes del sitio oficial que aloja la herramienta.
Al hacer clic en el enlace, el usuario accede a un sistema de dirección de tráfico (TDS) que toma huellas digitales y determina si la solicitud realmente proviene de un ser humano real (a diferencia de un bot, un rastreador o una zona de pruebas), antes de llevarlo a una página señuelo que contiene el instalador fraudulento.
El instalador está configurado para ejecutar un script de Visual Basic que se dirige a un servidor externo con el objetivo probable de recibir la carga útil de la siguiente etapa. Actualmente se desconoce la naturaleza exacta del malware distribuido.
Un aspecto notable de la campaña es que el actor de amenazas logró infiltrarse en la cuenta publicitaria de una empresa australiana legítima y crear los anuncios.
«Los actores de amenazas continúan aprovechando los anuncios de búsqueda para redirigir a los usuarios a sitios maliciosos que alojan malware», dijo Segura. «Con páginas de destino convincentes, se puede engañar fácilmente a las víctimas para que descarguen malware y no se den cuenta».
La revelación viene como akamai y Punto de percepción descubrió un campaña de varios pasos eso implica atacar los sistemas de hoteles, sitios de reservas y agencias de viajes con malware ladrón de información y luego aprovechar el acceso a las cuentas para perseguir datos financieros pertenecientes a clientes que utilizan páginas de reservas falsas.
«El atacante, haciéndose pasar por el hotel, llega al cliente a través del sitio de reserva, instándolo a ‘reconfirmar su tarjeta de crédito’, luego roba la información del cliente», dijo el investigador de Akamai Shiran Guez, señalando cómo los ataques atacan del sentido de urgencia de la víctima para llevar a cabo la operación.
Cofense, en un informe publicado esta semana, dijo que el sector hotelero ha sido el receptor de un «ataque de ingeniería social innovador y bien elaborado» diseñado para entregar malware ladrón como Lumma Stealer, RedLine Stealer, Stealc, Spidey Bot, y Vidar.
«Por ahora, la campaña sólo se dirige al sector hotelero, principalmente a cadenas de hoteles y complejos turísticos de lujo, y utiliza señuelos relacionados con ese sector, como solicitudes de reserva, cambios de reserva y solicitudes especiales», Cofense dicho.
«Los señuelos tanto para los correos electrónicos de reconocimiento como para los de phishing coinciden y están bien pensados».
La firma de gestión de amenazas de phishing empresarial dijo que también observado Archivos adjuntos HTML maliciosos destinados a llevar a cabo ataques de navegador en el navegador (BitB) al mostrar ventanas emergentes aparentemente inofensivas que incitan a los destinatarios de correo electrónico a proporcionar sus credenciales de Microsoft.
En otra muestra más de la naturaleza cambiante de los ataques de phishing, los actores de amenazas han comenzado a utilizar una técnica llamada Fuente cero en el que una parte seleccionada del cuerpo del mensaje está escrita en una fuente con un tamaño de cero píxeles para que parezca que el correo electrónico ha pasado con éxito los controles de seguridad.
Específicamente, el ataque implica manipular las vistas previas de mensajes en Microsoft Outlook de manera que el texto «invisible» se ubique al principio del mensaje. Esto aprovecha el hecho de que los clientes de correo electrónico muestran cualquier texto en la vista de lista, incluso si tiene un tamaño de fuente cero.
«Aunque es una técnica con un impacto menor, aún podría confundir a algunos destinatarios haciéndoles creer que un mensaje de phishing es confiable», SANS Internet Storm Center (ISC) dicho. «Es, en cualquier caso, una pequeña adición más a la caja de herramientas de los actores de amenazas que puede usarse para crear campañas de phishing más efectivas».
Los descubrimientos son una señal de que los actores de amenazas encuentran constantemente nuevas formas de infiltrarse en objetivos involuntarios. Los usuarios deben evitar hacer clic en enlaces no solicitados, incluso si parecen legítimos, sospechar de mensajes urgentes o amenazantes que soliciten una acción inmediata y verificar las URL en busca de indicadores de engaño.